恶意代码与网络安全(2)

特别要说明的是，当打开该页面时，它自动更改了浏览器的默认页，所以改回Windows设置后一定要修改浏览器的默认页，不然下次上网又会进入万花页面。 

三、预防办法： 

1.不要轻易去一些自己并不了解的站点。 

2.在IE设置中将ActiveX插件和控件、Java脚本等全部禁止。方法是：在IE窗口中点击“工具→Internet选项”，在弹出的对话框中选择“安全”标签，再点击“自定义级别”按钮，就会弹出“安全设置”对话框，把其中所有ActiveX插件和控件以及Java相关全部选择“禁用”即可。在Win 2000下把服务里面的远程注册表操作服务“Remote Registry Service”禁用就可以了。方法是点击“管理工具→服务→Remote Registry Service(允许远程注册表操作)”，将这一项禁用。 

3. 既然“万花谷”是通过修改注册表来破坏我们的系统，那么我们可以把注册表加锁，禁止修改注册表，这样就可以达到预防的目的。 

加锁方法如下： 

(1)运行注册表编辑器regedit.exe； 

(2)到“HKEY＿CURRENT＿USER”下，新建一个名为“DisableRegistryTools”的DWORD值，并将其值改为“1”，即可禁止使用注册表编辑器regedit.exe。 

解锁方法如下： 

用记事本编辑一个任意名字的.reg文件，比如unlock.reg，内容如下： 

REGEDIT4 

[HKEY＿CURRENT＿USER] “DisableRegistryTools”=dword:00000000 

存盘退出。如果要使用注册表编辑器，则双击“unlock.reg”即可。要注意的是，在“REGEDIT4”后面一定要空一行，并且“REGEDIT4”中的“4”和“T”之间一定不能有空格，否则将前功尽弃！ 

4. 对于所有用户，可以通过升级到最新的KVW3000病毒库，上网时打开KVW3000病毒防火墙来预防该类恶意网页的侵害(注意：必须是6月28日以后的病毒库方可)。

编者按：上期我们介绍的是“万花谷”病毒攻防战，其实互联网上类似的网站还很多，只要有带新的病毒的网站出现，我们就有义务告知大家。如果大家有网络安全方面的稿件，请发xiongjie@cpcw．com信箱，我们将以最快速度把实用性强的文章刊登出来。 

一、切身体验 

在进入木马网页的过程中，鼠标奇怪地变成沙漏形状，看来的确是有程序在运行。打开计算机的任务管理器，可以看到多了一个wincfg．exe的进程。进程对应的文件在Win2000下是c＼winnt＼wincfg．exe，在Win98下是c＼windows＼wincfg．exe。 

运行注册表编辑器regedit，在“HKEY＿LOCAL＿MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVerion＼Run”下发现wincfg．exe，原来它将自己登记在注册表开机启动项中，这样每次开机都会自动运行wincfg．exe。(如图)